Пентест для бизнеса: зачем нужен, виды и как выбрать подрядчика
Разбираемся в тестировании на проникновение: виды пентеста, когда он обязателен по закону, как выбрать подрядчика и сколько стоит проверка защищённости вашей инфраструктуры.
Пентест для бизнеса: зачем нужен, виды и как выбрать подрядчика
Компания может вложить миллионы в средства защиты информации, но одна незакрытая уязвимость на периметре сведёт все усилия к нулю. Пентест — единственный способ проверить, как ваша защита работает на практике, а не на бумаге. Разберём, какие виды тестирования существуют, когда пентест обязателен и как не ошибиться с выбором подрядчика.
Что такое пентест
Пентест (penetration testing, тестирование на проникновение) — это контролируемая имитация действий злоумышленника. Специалисты пытаются проникнуть в вашу инфраструктуру теми же методами, которые используют реальные хакеры, но с вашего согласия и без нанесения ущерба.
Результат — детальный отчёт с найденными уязвимостями, оценкой их критичности и рекомендациями по устранению.
Виды пентеста по уровню информированности
| Вид | Что знает тестировщик | Когда применять |
|---|---|---|
| Black Box | Ничего — только название компании | Имитация внешнего злоумышленника |
| Gray Box | Частичная информация: учётные записи, схема сети | Проверка защиты от инсайдера с ограниченными правами |
| White Box | Полный доступ: исходный код, архитектура, документация | Глубокий анализ, максимальное покрытие |
Виды пентеста по объекту тестирования
Внешний пентест
Проверка периметра — всё, что доступно из интернета: сайты, почтовые серверы, VPN-шлюзы, API. Самый востребованный вид: именно через внешний периметр происходит большинство атак.
Внутренний пентест
Имитация атаки изнутри корпоративной сети. Что может сделать сотрудник или подрядчик, получивший доступ к одному компьютеру? Часто результаты внутреннего пентеста оказываются неприятным сюрпризом.
Тестирование веб-приложений
Отдельное направление: проверка сайтов, личных кабинетов, API на уязвимости из OWASP Top 10 — SQL-инъекции, XSS, нарушения аутентификации и авторизации.
Социальная инженерия
Проверка сотрудников: фишинговые письма, звонки, подброс USB-носителей. По статистике, 70–90% успешных атак начинаются с фишинга.
Red Team vs пентест
Важно: Red Team — это не «продвинутый пентест». Это принципиально другой подход. Пентест ищет максимум уязвимостей за ограниченное время. Red Team имитирует целевую атаку: команда действует скрытно, комбинирует технические и социальные методы, проверяет не только уязвимости, но и способность вашей команды обнаружить и отреагировать на атаку. Red Team стоит в 3–5 раз дороже и имеет смысл для зрелых в плане ИБ организаций.
Когда пентест обязателен по закону
Пентест не всегда добровольная инициатива. В ряде случаев он требуется нормативными актами:
- ФСТЭК — для операторов ИСПДн (приказ № 21) и объектов КИИ (приказ № 239) требуется анализ уязвимостей, который по сути включает пентест
- ЦБ РФ — ГОСТ 57580.1 и положения 683-П, 719-П требуют ежегодного тестирования на проникновение для финансовых организаций
- PCI DSS — для компаний, обрабатывающих данные платёжных карт, ежегодный пентест обязателен
Даже если формально закон не требует пентест в вашем случае, для организаций с требованиями ФСТЭК он настоятельно рекомендуется.
Как часто проводить
- Ежегодно — минимальная рекомендуемая частота для любой организации
- После значимых изменений — запуск нового сервиса, миграция в облако, крупное обновление инфраструктуры
- Ежеквартально — для финансовых организаций и объектов КИИ
Как выбрать подрядчика
Выбор компании для пентеста — вопрос доверия. Вот на что обратить внимание:
- Лицензия ФСТЭК на техническую защиту информации — обязательна, если результаты будут использоваться для выполнения требований регуляторов
- Опыт в вашей отрасли — специфика финтеха, промышленности и ритейла различается
- Методология — должна быть прозрачной: OWASP, PTES, NIST SP 800-115
- Формат отчёта — не только список уязвимостей, но и оценка рисков, приоритеты, рекомендации
- Квалификация команды — сертификации OSCP, OSCE, CEH подтверждают навыки
- NDA — подрядчик должен подписать соглашение о неразглашении до начала работ
Что должен содержать отчёт о пентесте
Качественный отчёт включает:
- Описание объёма и границ тестирования
- Методологию и использованные инструменты
- Перечень найденных уязвимостей с оценкой критичности (CVSS)
- Доказательства эксплуатации (скриншоты, логи)
- Рекомендации по устранению с приоритизацией
- Резюме для руководства (нетехническое)
Стоимость и сроки
| Вид пентеста | Стоимость от | Типичные сроки |
|---|---|---|
| Веб-приложение | 150 000 ₽ | 1–2 недели |
| Внешний периметр | 200 000 ₽ | 2–3 недели |
| Комплексный (внешний + внутренний) | 300 000 ₽ | 3–4 недели |
| Red Team | 800 000 ₽ | 4–8 недель |
| Социальная инженерия | 100 000 ₽ | 1–2 недели |
Стоимость зависит от масштаба инфраструктуры, количества IP-адресов, веб-приложений и глубины тестирования.
С чего начать
Перед пентестом полезно провести аудит информационной безопасности — он поможет выявить системные проблемы и подготовить инфраструктуру. Пентест после аудита даёт значительно больше пользы, чем пентест «с нуля».
Хотите оценить защищённость вашей инфраструктуры? Свяжитесь с нами для обсуждения формата и объёма тестирования. А чтобы быстро оценить общий уровень соответствия требованиям ИБ, пройдите экспресс-аудит.